En promedio, solo 68.8% de las organizaciones alrededor del mundo mantuvieron el cumplimiento con el Requisito 11.3 de PCI DSS, que establece que las organizaciones deben realizar pruebas de penetración anualmente.

La prueba de penetración es un simulacro de ciberataque usado para identificar y explotar vulnerabilidades que podrían dar a los cibercriminales acceso no autorizado a la información.

El ejercicio, también conocido como prueba de penetración, podría revelar si su entorno de datos de titulares de tarjetas es susceptible a una gran variedad de vulnerabilidades que podrían dejar sus datos expuestos. También podría revelar qué mejoras son necesarias para mantener esta información segura.

En este artículo, explicamos qué es exactamente una prueba de penetración PCI, cómo se diferencia de una prueba de penetración regular, y los componentes y procesos del test que necesita conocer. También proporcionamos una lista de verificación para el informe de prueba de penetración que le ayudará a evaluar la calidad de un informe.

¿Qué es la prueba de penetración PCI DSS?

Una prueba de penetración es un ejercicio donde un tercero contratado lanza un ataque simulado en sus sistemas para descubrir áreas donde su organización puede mejorar su seguridad de la información.

Una prueba de penetración PCI evalúa específicamente la seguridad de su entorno de datos de titulares de tarjetas, cualquier red o sistema que se conecte a su entorno de datos de titulares de tarjetas, e incluso sistemas o redes aislados dentro de su infraestructura interna y aplicaciones, hasta los sistemas externos conectados a redes públicas.

Las pruebas de penetración PCI son un requisito para mantener el cumplimiento con PCI DSS, y la no conformidad puede resultar en sanciones legales o la pérdida de privilegios de procesamiento de tarjetas de pago.

¿Cómo se diferencia una prueba de penetración de un escaneo de vulnerabilidades?

Aunque las pruebas de penetración PCI pueden incluir escaneos de vulnerabilidades, no son lo mismo.

Un escaneo de vulnerabilidades se enfoca en encontrar, priorizar e informar sobre las vulnerabilidades que existen en un sistema mediante el uso único de una herramienta automatizada. Una prueba de penetración PCI podría aprovechar un escaneo de vulnerabilidades, pero incluir un hacker ético cuyo objetivo principal es explotar esas vulnerabilidades y potencialmente moverse por su entorno para descubrir amenazas más profundas.

Consulte la tabla a continuación para encontrar un desglose de las principales diferencias entre un escaneo de vulnerabilidades y una prueba de penetración.

¿Cuál es la diferencia entre una prueba de penetración PCI y una prueba de penetración estándar?

En comparación con una prueba de penetración estándar, las pruebas de penetración PCI tienen indicaciones más específicas con respecto al alcance y la frecuencia de la prueba. La metodología de prueba también requiere específicamente la prueba contra la capa de aplicación y cualquier sistema crítico o entorno de datos de titulares de tarjetas conectado a sistemas.

Requisitos de Pruebas de Penetración PCI

El Requisito 11 de PCI DSS contiene controles relacionados con el establecimiento de un proceso de gestión de vulnerabilidades. Los controles incluyen la realización de escaneos de vulnerabilidades internos y externos trimestralmente y una prueba de penetración anual.

El Requisito 11.3 de PCI DSS aborda las pruebas de penetración y especifica los requisitos para lo siguiente.

• Quién realiza las pruebas de penetración: Un recurso interno calificado o una tercera parte.
• Alcance: Sistemas críticos y cualquier red o sistema conectado al entorno de datos del titular de la tarjeta.
• Frecuencia: Debe realizarse al menos una vez al año o después de cualquier cambio significativo. Los proveedores de servicios necesitan pruebas de segmentación realizadas semestralmente.
• Metodología: Se debe definir una metodología que incluya el alcance, la documentación y las reglas de compromiso. La metodología de prueba real debe basarse en estándares de la industria y en la guía de pruebas definida por PCI.
• Componentes: Alcance, pruebas de segmentación, pruebas de capa de red y de aplicación.
• Informes y documentación: La metodología de la prueba de penetración debe estar documentada y el informe de la prueba de penetración debe incluir vulnerabilidades asignadas con una puntuación y descripción asociada.
• Remediación: Se deben remediar todas las vulnerabilidades externas altas y medias, así como todas las vulnerabilidades internas altas. Cualquier red que se definiera como segmentada pero que se encontrara conectada se incorporaría al alcance de PCI DSS a menos que se remediase de otra manera.

¿Quién realiza típicamente una prueba de penetración PCI DSS? 

Secureframe recomienda contratar a una empresa de pruebas de penetración externa para realizar la prueba de penetración. 

Las PCI DSS permiten que un recurso interno realice la prueba de penetración. Esta persona debe ser independiente organizacionalmente, es decir, no puede ser responsable de la gestión, soporte o mantenimiento de los sistemas o el entorno objetivo. Esta persona también debe estar calificada, lo que implica tener experiencia previa como probador de penetración o tener una certificación de prueba de penetración, como Profesional Certificado de Seguridad Ofensiva (OSCP), Hacker Ético Certificado (CEH) o Certificación Global de Garantía de Información (GIAC).

Metodología de pruebas de penetración PCI

Existen varias metodologías que se pueden utilizar para las pruebas de penetración. Estas se refieren a actividades y procesos aparte de las pruebas en sí que pueden ayudar a que una prueba de penetración sea exitosa.

Las metodologías utilizadas dependen de la empresa que ofrece los servicios de prueba de penetración, así como de las amenazas y vulnerabilidades del entorno de datos del titular de la tarjeta y la complejidad y tamaño de la organización que se está probando.

También existen diferentes metodologías que pueden ser utilizadas antes, durante y después de una prueba de penetración. Por ejemplo, un probador de penetración puede usar técnicas de ingeniería social durante las pruebas para identificar y obtener acceso a servidores, componentes de red y otros objetivos en el CDE. Otros pueden no incorporar estas técnicas en su metodología de pruebas de penetración.

Al considerar qué actividades y procesos incorporar, los probadores de penetración pueden recurrir a varias metodologías aceptadas por la industria, incluyendo:

• Manual de Metodología de Pruebas de Seguridad de Código Abierto (“OSSTMM”)
• Publicación Especial 800-115 del Instituto Nacional de Estándares y Tecnología (“NIST”)
• Guía de Pruebas OWASP
• Estándar de Ejecución de Pruebas de Penetración (PTES)
• Marco de Pruebas de Penetración

Componentes de pruebas de penetración PCI

A continuación, encontrará más información sobre el alcance, las pruebas de segmentación, las pruebas de capa de red y de aplicación.

Alcance

Al realizar una prueba de penetración PCI, los sistemas críticos del entorno de datos de tarjetas (CDE), el perímetro externo y cualquier sistema conectado al entorno de datos de tarjetas están incluidos en el alcance de la prueba. Depende de la organización que realiza la prueba de penetración definir el alcance y asegurarse de que incluya todos los siguientes componentes:

• Sistemas críticos: Cualquier sistema, red o dispositivo que almacene, procese o transmita datos de tarjetahabientes, o que se consideren increíblemente importantes para su servicio.
• Sistemas conectados: Cualquier red, sistema o dispositivo que se conecte a su entorno de datos de tarjetas.
• Perímetro externo del CDE: Cualquier servicio de cara al público, puntos de acceso remoto y componentes críticos del sistema que estén conectados a la infraestructura de red pública (por ejemplo, aplicaciones web).

Pruebas de capa de aplicación y de capa de red

Una prueba de seguridad de aplicaciones y de capa de red identifica cualquier fallo de seguridad que surja del diseño y la codificación insegura de la aplicación. Los probadores de penetración también verifican los defectos de ciberseguridad que provienen de la configuración, implementación, uso o mantenimiento inseguro del software específico de la organización.

Las pruebas de capa de aplicación y de capa de red comienzan una vez que se define el alcance, se establecen las reglas de compromiso y se otorga cualquier acceso.

El equipo de pruebas de penetración probablemente definirá las fechas en las que se llevará a cabo la prueba de penetración, incluyendo el tiempo en que se realizará la prueba.

Luego, los probadores de penetración realizarán la evaluación real contra la aplicación y la red, descubriendo vulnerabilidades que puedan existir en su entorno.

Pruebas de segmentación

Las pruebas de segmentación son requeridas anualmente para los comerciantes y semestralmente para los proveedores de servicios.

Si utiliza controles de segmentación como firewalls o VLANs para segmentar redes fuera del alcance de su entorno de datos de tarjetas, se deben realizar pruebas de segmentación.

Una prueba de segmentación verifica que estos controles estén operativos y efectivamente aislando el CDE de otros sistemas. Esta verificación es importante porque previene que los hackers puedan pivotar al CDE si logran tomar control de una red aislada diferente.

Ingeniería social

La ingeniería social, como el phishing, es la forma más popular y efectiva en que los hackers pueden ingresar a su entorno. Las pruebas de ingeniería social tienen como objetivo identificar los riesgos que pueden surgir de la incapacidad de los usuarios para distinguir una solicitud maliciosa de una verdadera.

El PCI DSS no requiere una prueba de ingeniería social, pero sí requiere capacitación en concienciación sobre seguridad, que debe incluir módulos de phishing.

Métodos de pruebas de penetración

Existen tres métodos de pruebas de penetración: caja negra, caja blanca y caja gris. Típicamente, las pruebas de penetración PCI DSS incluyen estos tres métodos de prueba.

• Evaluaciones de caja negra se realizan sin ninguna autenticación previa o incluso información específica del alcance proporcionada por la organización al evaluador. Esto podría ser proporcionar al evaluador solo el rango de IP del alcance.
• Evaluaciones de caja blanca son cuando la organización proporciona acceso e información completa y detallada de la red y todas las aplicaciones web antes de la prueba. Esto podría incluir múltiples roles de acceso, todas las funciones realizadas por una aplicación y cada dirección IP de cada dispositivo en el alcance.
• Evaluaciones de caja gris son el punto medio entre la caja negra y la caja blanca. La organización podría proporcionar acceso limitado a sistemas y aplicaciones y requerir que el evaluador descubra servicios adicionales por sí mismo.

El proceso de prueba de penetración PCI

Una prueba de penetración PCI exitosa consta de tres pasos: precompromiso, compromiso y poscompromiso. El precompromiso consiste en definir el alcance y recopilar información, el compromiso abarca los pasos de evaluación, y el poscompromiso se compone de informes y pruebas repetidas. Puedes encontrar una visión general de cada paso a continuación.

1. Precompromiso

Antes de la prueba, el evaluador y la organización identifican el alcance de la prueba basado en los requisitos de PCI DSS y las redes, aplicaciones, sistemas y usuarios en el alcance. El PCI DSS especifica que el alcance de una prueba de penetración PCI debe incluir cualquier sistema crítico, sistemas o redes conectadas, sistemas de cara externa o pública y cualquier entorno aislado para pruebas de segmentación.

El evaluador luego obtendrá autorización para la prueba, indicando las fechas y horas específicas en las que se realizará la prueba, incluyendo potencialmente las direcciones IP desde las cuales se originará la prueba de penetración.

Cualquier credencial y autenticación se probará antes de la prueba de penetración para asegurar que el acceso se otorgue correctamente.

2. Compromiso

En esta etapa, el evaluador de penetración comenzará la prueba recopilando información sobre los sistemas objetivo, como puertos abiertos, servicios y la topología de la red.

A continuación, el evaluador realizará un escaneo para tratar de descubrir vulnerabilidades y vectores de ataque contra los sistemas en el alcance. Una vez descubiertas las vulnerabilidades, el atacante intentará explotarlas para tratar de acceder a los sistemas o redes objetivo, o exfiltrar datos, como datos de titulares de tarjetas. Luego, el evaluador intentará escalar privilegios para obtener acceso administrativo más profundo explotando vulnerabilidades adicionales dentro de los sistemas.

Durante una prueba de segmentación, el evaluador será plantado dentro de los sistemas y entornos aislados e intentará acceder al entorno de datos de titulares de tarjetas. Esto se puede hacer utilizando técnicas de escaneo y luego tratando de utilizar los servicios encontrados para obtener acceso, o tratando de explotar las vulnerabilidades encontradas o utilizando credenciales descubiertas para obtener acceso.

3. Poscompromiso

Una vez completado el compromiso, el evaluador documentará en un informe el alcance de la prueba, la metodología utilizada y las vulnerabilidades encontradas. El informe debe incluir todas las vulnerabilidades encontradas, la puntuación asociada respecto a la gravedad de la vulnerabilidad, una descripción y un concepto de prueba. El informe de la prueba de penetración también debe incluir los detalles de la prueba de segmentación, incluidas las redes de origen, el entorno de datos del titular de la tarjeta y si se descubrió acceso.

La organización ahora tendrá la oportunidad de remediar las vulnerabilidades encontradas y solicitar al probador de penetración que realice una nueva prueba de las vulnerabilidades para asegurarse de que hayan sido remediadas. Tenga en cuenta que, por lo general, es un requisito de PCI DSS que las vulnerabilidades críticas y altas sean remediadas en la red interna y que las vulnerabilidades críticas, altas y medias sean remediadas en cualquier sistema de cara al exterior.

Guía de Informes de Pruebas de Penetración

Los informes de pruebas de penetración pueden verse muy diferentes entre las empresas de pruebas de penetración. Sin embargo, el PCI SCC esboza contenido común en una prueba de penetración estándar de la industria. Este contenido se detalla a continuación.

• Resumen ejecutivo: Una visión general de alto nivel del alcance y los hallazgos de la prueba de penetración.
• Declaración de alcance: Una definición detallada de todos los sistemas y redes en alcance.
• Declaración de metodología: Detalles sobre las metodologías utilizadas para las pruebas.
• Declaración de limitaciones: Documentación de cualquier restricción en las pruebas, como horas designadas para las pruebas.
• Narrativa de pruebas: Detalles sobre cómo progresaron las pruebas y cualquier problema encontrado.
• Resultados de pruebas de segmentación: Un resumen de las pruebas realizadas para validar los controles de segmentación.
• Hallazgos: Una descripción de las vulnerabilidades encontradas, la severidad basada en un sistema de puntuación reconocido por la industria y qué objetivos se verían afectados.
• Herramientas utilizadas: Detalles sobre qué herramientas se utilizaron durante las pruebas.
• Instrucciones de limpieza: Indicaciones sobre cómo limpiar el entorno objetivo y verificar que los controles de seguridad se hayan restaurado después de las pruebas.
• Pruebas de remediación: Los resultados muestran qué vulnerabilidades fueron remediadas, si se realizaron pruebas de remediación.

Además de este esquema de contenido, puede utilizar la lista de verificación a continuación para verificar si el contenido necesario se ha incluido en su informe de prueba de penetración.

Herramienta de evaluación de informes de pruebas de penetración

Según el Informe de Seguridad de Pagos 2022 de Verizon, solo el 68,8% de las organizaciones en todo el mundo mantuvieron el cumplimiento del requisito de PCI DSS para pruebas de penetración anuales. Al explorar lo que contribuyó al bajo rendimiento de este requisito, descubrieron que las organizaciones estaban de hecho realizando una prueba de penetración, pero luego no mitigaban los hallazgos. En algunos casos, esto se debía a que las organizaciones no entendían o no sabían por dónde empezar a mitigar.

Por eso es importante tener alguna orientación sobre cómo interpretar un informe de prueba de penetración y su calidad. Utilice la lista de verificación de evaluación de informes de pruebas de penetración a continuación para ayudar a evaluar lo completo y detallado de su informe.

Cómo Secureframe puede ayudar

Mantener el cumplimiento de PCI DSS es crucial si afectas la seguridad de los datos del titular de la tarjeta. Cumplir con los requisitos de pruebas de penetración anuales y semestrales de PCI DSS es una parte esencial del cumplimiento continuo, pero no necesitas llevar la carga de lograr y mantener la certificación PCI DSS por tu cuenta.

Secureframe simplifica el proceso de cumplimiento de PCI DSS integrando tu pila tecnológica y automatizando controles técnicos. También nos asociamos con proveedores externos de pruebas de penetración que han sido evaluados por nuestro equipo interno de expertos en seguridad. ¿Buscas acelerar tu cumplimiento de PCI DSS? Programa hoy una demostración PCI DSS personalizada.